Статья только в электронной версии журнала

Статья только в электронной версии журнала

БЕЗОПАСНОСТЬ

Скотт Беринато,

Рини Бучер Фергюсон

Стремясь расширить присутствие в Сети, менеджеры ИТ делают свои узлы легко уязвимыми

Специальное сообщение для любителей статистики: только за одну неделю в начале сентября было взломано три международных Web-узла, появилось два разоблачительных отчета о несоблюдении стандартов безопасности в Интернете и опубликованы шокирующие данные, из которых следует, что почти треть компаний электронного бизнеса не пользуются даже брандмауэрами.

Все это вместе взятое наглядно свидетельствует о плачевном положении с безопасностью в Интернете и защищенностью серверов Всемирной паутины. Эксперты в один голос утверждают, что владельцам Web-узлов некого винить во взломах, кроме самих себя. Главными помощниками хакеров стали крайне слабые меры по защите информации, а также нежелание сетевых администраторов потратить больше сил и денег на обеспечение безопасности своих сетевых ресурсов.

Короче говоря, стремление добавлять букву “э” ко всему подряд привело к возникновению и быстрому развитию кризиса в области сетевой безопасности.

“Службам ИТ пора бы “на себя оборотиться”, - уверен Джефф Виклер, исполнительный директор треста Equity Residential Properties Trust (Чикаго, шт. Иллинойс), которому принадлежит множество сдаваемых в аренду домов по всей территории США. - Уязвимость в Интернете нужно чувствовать нутром, а многие компании тем временем не видят никаких различий между общедоступным узлом и внутренним сервером. В этом-то и заключается их ошибка”.

Недавние взломы могут иметь самые серьезные последствия. На узле финансовой фирмы Western Union Financial Services (Инглвуд, шт. Колорадо), к примеру, были похищены данные по кредитным и дебетовым карточкам почти 16 тыс. клиентов. А из базы данных, принадлежащей международной мебельной фирме Ikea International A/S (Плимут-Митинг, шт. Пенсильвания), хакерам удалось извлечь личные данные, включая домашние адреса и номера телефонов, всех покупателей. Пострадала и организация стран-экспортеров нефти ОПЕК, Web-узел которой был обезображен в знак протеста против высоких цен на нефть.

Специалисты считают, что рост числа взломов легко объясним.

“До сегодняшнего дня не хватало разве что стимулов для проникновения на Web-узлы, - сказал Ави Рубин, эксперт по безопасности из исследовательского центра AT&T Labs (Мюррей-Хилл, шт. Нью-Джерси). - Теперь же их не перечесть. К тому же сейчас взломать сайт легче, чем когда бы то ни было. Компаниям становится все труднее находить талантливых специалистов, способных противостоять хакерам, да и само нахождение в Интернете интересует их гораздо сильнее, чем безопасность такого присутствия”.

После упомянутых случаев взлома ни одна из пострадавших организаций не стала вдаваться в детали. Все ограничились лишь краткими сообщениями, в которых постарались принизить значение происшедшего или свалить вину на других. Western Union объявила, что ничего страшного с номерами кредитных карточек не произошло, а представители Ikea дали понять, что за размещение узла этой фирмы в Интернете отвечает независимая компания.

Что же касается ОПЕК, то специалистам этой организации со штаб-квартирой в Вене (Австрия) понадобился почти день, чтобы удалить сообщение хакера со своей базовой страницы. Сейчас предпринимаются попытки разыскать взломщика, однако, по словам представителя ОПЕК, тот хорошо замел все следы.

Эксперты же считают, что проникновения на серверы Western Union и Ikea стали возможны только из-за того, что владельцы узлов не придерживались правил обеспечения безопасности. Система Western Union оказалась легкоуязвимой во время технического обслуживания, а на узел Ikea каждый любопытствующий вообще мог проникнуть по выходным дням, когда никто не контролировал его системы.

“Дело не в технологии, она-то как раз со своими задачами справляется, - считает Дэн Туриссини, вице-президент консультационной фирмы Operational Research Consultants (Александрия, шт. Виргиния), которая занимается созданием систем безопасности для ВМС и ВВС США, а также для правительства штата Пенсильвания. - Компании просто не хотят потратить средств чуть больше, чуть усерднее поработать, предпринять пару дополнительных мер, чтобы сделать свой узел безопаснее. Убедиться, что на время технического обслуживания система остается защищенной, - это ведь азбучная истина. Такой взлом легко предотвратить, если заранее провесо всех сторон оценить безопасность сервера”.

Результаты исследования, проведенного Cutter Consortium (Арлингтон, шт. Виргиния), демонстрируют поразительное пренебрежение вопросами безопасности и угрожающе низкий уровень расходов на ее обеспечение (см. врезку внизу). В ходе опросов сотрудники консорциума, который является подразделением корпорации Cutter, установили, что 31% из 134 опрошенных компаний мирового масштаба даже не установили на своих Web-узлах брандмауэры. Да и общий уровень знаний по базовым вопросам защиты сетевых ресурсов, как оказалось, оставляет желать лучшего.

Место врезки

Результаты первой недели сентября, конечно, весьма печальны, но дальше положение может еще ухудшиться. Как предсказывает аналитик Cutter Кен Орр, в дальнейшем следует ожидать роста количества подобных взломов. “Компании всячески стараются скрыть такую информацию, а это, по оценке специалистов, только усугубляет ситуацию, - пояснил он. - То, что она развивается именно в этом направлении, было ясно давно, но дальше станет еще хуже. Сокрытие фактов никогда никому не помогало”.

Выявить причины создавшегося положения помогли ответы, полученные в ходе исследования. Некоторые из опрошенных полностью доверяют брандмауэру и вместо того, чтобы во всеоружии встретить надвигающуюся опасность, не уделяют должного внимания вопросам защиты. Именно это, как считают эксперты, делает проблему еще более острой.

Дебора Росси, исполнительный вице-президент по Интернет-услугам в компании Wells Fargo & Co. (Сан-Франциско, шт. Калифорния), использовала факт взлома узла Western Union, чтобы подчеркнуть: Web-сервер компании ни разу не был взломан. “Клиенты доверяют нам, и мы должны оправдать это доверие”, - заявила она. А на вопрос, как удалось предотвратить все атаки на узел Wells Fargo, пояснила: “У нас установлено несколько брандмауэров, поэтому серверы не остаются без защиты даже во время технического обслуживания узла”.

У Рубина из AT&T подобные ответы вызывают только усмешку. “Здесь достаточно одной-единственной ошибки в конфигурации брандмауэра. Давно пора понять, что установка брандмауэра вовсе не гарантирует полной защищенности”, - подчеркнул он. Правда, Рубин признает, что попытки проникновения на собственные серверы с черного хода, которые постоянно предпринимают, по словам Росси, специалисты Wells Fargo, - хорошая мера обеспечения безопасности. И все же, по мнению этого специалиста, фирмам не следует во всеуслышание заявлять о своей полной защищенности от взломов.

Конечно, кража конфиденциальных данных - дело неприятное, но есть еще одна проблема, приобретающая сейчас все большие масштабы. Речь идет о несанкционированном доступе к информации со стороны партнеров. В начале сентября Главное бюджетно-контрольное управление США опубликовало отчет, судя по которому только на 3% Web-узлов государственных учреждений политика безопасности отвечает критериям Федеральной торговой комиссии в области защиты информации, а на 15% из них вообще не довели такие правила до сведения пользователей.

Об этом же свидетельствуют и результаты опроса, проведенного консорциумом Cutter. Из составленного отчета видно, что 47% опрошенных компаний не разработали адекватной политики обеспечения безопасности своих серверов. Более того, когда респондентов попросили распределить по важности факторы, наиболее существенные для э-бизнеса, вопросы защищенности информации оказались на шестом из восьми мест.

До тех пор пока компании не перестанут ценить присутствие в Интернете выше, чем безопасность своих клиентов, черные недели наподобие сентябрьской будут повторяться снова и снова. И если специалисты ИТ не предпримут решительных шагов, ситуация в этой области лучше станет.

Насколько решительными должны быть такие шаги? Некоторые эксперты предлагают фирмам даже полностью закрыть свои Web-узлы вплоть до выработки всесторонних мер безопасности и защиты информации. Однако такому совету вряд ли кто последует, хотя бы из соображений конкуренции. А Рубин, со своей стороны, очень хотел бы, чтобы производители систем безопасности прекратили в ходе маркетинговых кампаний демонстрировать слабые места в продуктах своих конкурентов, да и вообще перестали тратиться на рекламу средств защиты.

“Никто не сможет отличить один такой продукт или услугу от другого, - считает он. - Все различия только в маркетинге”. По мнению Рубина, сейчас ощущается острая необходимость в организации-гаранте наподобие фирмы Underwriters Laboratories.

А вот как оценивает положение в области безопасности Интернета Туриссини: “Не стоит думать, будто защита и безопасность обеспечиваются сами по себе. О них нужно думать и заботиться. Здесь не обойтись без постоянного обновления и сопровождения развернутых систем, определенной доли человеческого вмешательства. Сюда нужно вкладывать деньги. Мне кажется, многие просто не понимают этого. Они даже не хотят слышать об этом”.